Opzioni di routing per Site-to-Site VPN - AWS Site-to-Site VPN
Routing statico e dinamicoTabelle di routing e priorità della route VPNRouting durante gli aggiornamenti degli endpoint del tunnel VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Opzioni di routing per Site-to-Site VPN

Quando crei una connessione Site-to-Site VPN devi eseguire le seguenti operazioni:

  • Specificare il tipo di routing che prevedi di utilizzare (statico o dinamico)

  • Aggiorna la tabella di routing per la sottorete

Esistono quote al numero di route che puoi aggiungere a una tabella di routing. Per ulteriori informazioni, consulta la sezione Tabelle di routing in Quote di Amazon VPC nella Guida per l'utente di Amazon VPC.

Argomenti

Routing statico e dinamico

Il tipo di routing selezionato può dipendere dalla marca e dal modello del dispositivo gateway del cliente. Se il dispositivo gateway del cliente supporta Border Gateway Protocol (BGP), specifica il routing dinamico quando configuri la connessione VPN sito-sito. Se il dispositivo gateway del cliente non supporta BGP, specifica il routing statico.

Se utilizzi un dispositivo che supporta la pubblicità BGP, non puoi specificare le route statiche alla connessione Site-to-Site VPN perché il dispositivo utilizza BGP per pubblicizzare le sue route al gateway virtuale privato. Se utilizzi un dispositivo che non supporta la pubblicità BGP, devi selezionare il routing statico e immettere le route (prefissi IP) per la rete che devono essere comunicate al gateway virtuale privato.

Ti consigliamo di utilizzare dispositivi dotati della funzionalità BGP, quando disponibili, perché il protocollo BGP offre controlli di rilevamento liveness affidabili che possono rispondere alle Esigenze di failover al secondo tunnel VPN se il primo tunnel non è disponibile. I dispositivi che non supportano BGP possono anche Eseguire controlli dello stato per rispondere alle Esigenze di failover al secondo tunnel quando necessario.

È necessario configurare il dispositivo gateway del cliente per instradare il traffico dalla rete locale alla connessione Site-to-Site VPN. La configurazione dipende dalla marca e dal modello del dispositivo. Per ulteriori informazioni, consulta Il dispositivo gateway del cliente.

Tabelle di routing e priorità della route VPN

Le tabelle di routing determinano la destinazione del traffico di rete proveniente dal VPC. Nella tabella di routing VPC devi aggiungere una route per la rete remota e specificare il gateway virtuale privato come target. Questo consente di instradare il traffico dal VPC che è destinato alla rete remota al gateway virtuale privato e su uno dei tunnel VPN. Puoi abilitare la propagazione della route per la tabella di routing per propagare automaticamente le route di rete alla tabella.

Utilizziamo la route più specifica della tua tabella di routing che corrisponde al traffico per determinare il modo in cui instradare il traffico (corrispondenza di prefisso più lunga). Se la tabella di routing presenta percorsi sovrapposti o corrispondenti, si applicano le seguenti regole:

  • Se le route propagate da una connessione Site-to-Site VPN o da una connessione AWS Direct Connect si sovrappongono alla route locale per il VPC, la route locale è la preferita anche se le route propagate sono più specifiche.

  • Se le route propagate da una connessione Site-to-Site VPN o da una connessione AWS Direct Connect hanno lo stesso blocco CIDR di destinazione delle altre route statiche esistenti (la corrispondenza prefisso più lungo non può essere applicata), diamo la priorità alle route statiche i cui target sono un gateway Internet, un gateway virtuale privato, un'interfaccia di rete, un ID istanza, una connessione peering VPC, un gateway NAT, un gateway di transito o un endpoint VPC del gateway.

Ad esempio, la seguente tabella di routing dispone di una route statica a un Internet Gateway e una route propagata a una gateway virtuale privato. La destinazione di entrambe le regole è 172.31.0.0/24. In questo caso, tutto il traffico destinato a 172.31.0.0/24 viene instradato all'Internet gateway, perché si tratta di una route statica che ha priorità sulla route propagata.

Destinazione Target
10.0.0.0/16 Locale
172.31.0.0/24 vgw-11223344556677889 (propagato)
172.31.0.0/24 igw-12345678901234567 (statico)

Solo i prefissi IP noti al gateway virtuale privato, tramite annunci pubblicitari BGP o una voce route statica, possono ricevere traffico dal VPC. Il gateway virtuale privato non instradata eventuale altro traffico destinato all'esterno di promozioni BGP ricevute, alle voci della route statica o al relativo CIDR VPC collegato. I gateway virtuali privati non supportano il traffico IPv6.

Quando un gateway virtuale privato riceve informazioni di routing, utilizza la selezione percorso per determinare in che modo instradare il traffico. Si applica la corrispondenza di prefisso più lunga, se tutti gli endpoint sono integri. L'integrità di un endpoint del tunnel ha la precedenza sugli altri attributi di routing. Questa precedenza si applica alle VPN su gateway privati virtuali e gateway di transito. Se i prefissi sono identici, il gateway virtuale privato assegna la priorità alle route come segue, dalla più preferita alla meno preferita:

  • Route propagate BGP da una connessione AWS Direct Connect

  • Route statiche aggiunte manualmente per una connessione Site-to-Site VPN

  • Route propagate BGP da una connessione Site-to-Site VPN

  • Per prefissi corrispondenti in cui ciascuna connessione Site-to-Site VPN utilizza BGP, AS PATH viene confrontato e il prefisso con AS PATH più breve viene preferito.

    Nota

    AWS consiglia vivamente di utilizzare dispositivi gateway del cliente che supportano il routing asimmetrico.

    Per i dispositivi gateway del cliente che supportano il routing asimmetrico, non consigliamo di utilizzare AS PATH anteposto, per garantire che i tunnel abbiano AS PATH uguale. Ciò consente di garantire che il valore multi-exit discriminator (MED) impostato su un tunnel durante gli aggiornamenti degli endpoint del tunnel VPN venga utilizzato per determinare la priorità del tunnel.

    Per i dispositivi gateway del cliente che non supportano il routing asimmetrico, è possibile utilizzare AS-Path anteposto e Local-Preference per preferire un tunnel rispetto all'altro. Tuttavia, quando il percorso di uscita cambia, ciò può causare una riduzione del traffico.

  • Quando i percorsi AS hanno la stessa lunghezza e se il primo AS in AS_SEQUENCE è lo stesso su più percorsi, vengono confrontati i multi-exit discriminators (MED). Il percorso preferito è quello con il valore MED più basso.

La priorità della route è influenzata durante gli aggiornamenti degli endpoint del tunnel VPN.

In una connessione Site-to-Site VPN, AWS seleziona uno dei due tunnel ridondanti come percorso di uscita primario. Questa selezione a volte può cambiare e si consiglia di configurare entrambi i tunnel per la disponibilità elevata e per consentire un routing asimmetrico. L'integrità di un endpoint del tunnel ha la precedenza sugli altri attributi di routing. Questa precedenza si applica alle VPN su gateway privati virtuali e gateway di transito.

Per un gateway virtuale privato, verrà selezionato un tunnel per tutte le connessioni Site-to-Site VPN sul gateway. Per utilizzare entrambi i tunnel, è consigliabile esplorare Equal Cost Multipath (ECMP), supportato per le connessioni Site-to-Site VPN su un gateway di transito. Per ulteriori informazioni, consulta Gateway di transito in Gateway di transito di Amazon VPC. ECMP non è supportato per le connessioni Site-to-Site VPN in un gateway virtuale privato.

Per le connessioni Site-to-Site VPN che utilizzano BGP, il tunnel primario può essere identificato dal valore multi-exit discriminator (MED). Consigliamo di pubblicizzare percorsi BGP più specifici per influenzare le decisioni di routing.

Per le connessioni Site-to-Site VPN che utilizzano il routing statico, il tunnel principale può essere identificato dalle statistiche o dai parametri del traffico.

Routing durante gli aggiornamenti degli endpoint del tunnel VPN

Una connessione Site-to-Site VPN è costituita da due tunnel VPN tra un dispositivo gateway del cliente e un gateway virtuale privato o un gateway di transito. Si consiglia di configurare entrambi i tunnel per la ridondanza. Occasionalmente, AWS esegue anche manutenzione di routine sulla connessione VPN, che potrebbe brevemente disabilitare uno dei due tunnel della connessione VPN. Per ulteriori informazioni, consulta Notifiche di sostituzione degli endpoint del tunnel.

Quando eseguiamo aggiornamenti su un tunnel VPN, viene impostato un valore multi-exit discriminator (MED) in uscita inferiore sull'altro tunnel. Se il dispositivo gateway del cliente è stato configurato per utilizzare entrambi i tunnel, la connessione VPN utilizza l'altro tunnel durante il processo di aggiornamento dell'endpoint del tunnel.

Nota

Per assicurarsi che il tunnel up con il MED inferiore sia quello preferito, assicurarsi che il dispositivo gateway cliente utilizzi gli stessi valori Peso e Preferenza locale per entrambi i tunnel (Peso e Preferenza locale hanno priorità più alta rispetto a MED).